Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versucht seit Herbst letzten Jahres Informationen zu Microsofts Sicherheitsvorkehrungen zu bekommen. Da Microsoft nicht lieferte, griff das BSI zu Paragraf 7a des BSI-Gesetzes, mit dem es unter anderem die Herausgabe von Informationen einklagen kann. Durch ein Leak aus dem Digitalausschuss des Bundestags wurde dies jetzt bekannt.

Im Kontext der heftigen Sicherheitsvorfälle bei Microsoft steht das Auskunftsbegehren, bei denen staatliche Angreifer mehrfach Informationen von Microsoft selbst, aber auch von deren Cloud-Kunden abgreifen konnten. Es geht dabei um den Diebstahl des Master-Keys zur Microsoft-Cloud. In diesem Fall diagnostizierte die vom US-amerikanischen Department of Homeland Security (DHS) eingesetzte Untersuchungskommission bereits ein Komplettversagen Microsofts.

Ein Sprecher des BSI sagte gegenüber heise Security: "Das BSI hat im weiteren Verlauf der fachlichen Auseinandersetzung mit Microsoft den formellen Weg der Anordnung beschritten, weil die Angaben, die das BSI zuvor in einem regulären Austausch erhalten hat, nicht zufriedenstellend waren". Dem BSI ging es konkret unter anderem um den Einsatz der sogenannten Double Key Encryption, die eigentlich einen Datenabfluss zumindest in speziell gesicherten Umgebungen hätte verhindern können. Beim BSI könne nicht eingeschätzt werden, ob die Angreifer nicht eventuell doch Klartextdaten abgreifen konnten, da die Details dazu so unklar sind.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE